Пользователь
0,0
рейтинг
12 мая 2011 в 02:11

Разработка → Уязвимость в Google Chrome оказалась уязвимостью Adobe Flash

На этой неделе Интернет всколыхнулся новостью, о том, что специалисты из компании VUPEN, прославившейся на конкурсах Pwn2Own, выбрались из песочницы браузера Google Chrome и выполнили произвольный код, вызвав через специально подготовленную страницу калькулятор Windows. Особенностью атаки стал обход не только песочницы браузера, но и механизмов защиты Windows 7 — ASLR и DEP. Подробности атаки не раскрывались (точнее компания их раскрыла исключительно государственным структурам и своим клиентам), что вызвало разные толки в Сети, вплоть до объявления роликов фейком. На Хабрахабре Евгений Жарков и Владимир Юнев также выразили сомнение в подлинности единственного ролика, где был продемонстрирован взлом браузера.

Тем не менее, французские хакеры действительно взломали браузер, но как оказалось не исключительно сам браузер, а Adobe Flash Player. Разработчик браузера Тэвис Орманди обвинил VUPEN в том, что их специалисты недооценивают механизм «песочницы» Google Chrome, а журналистов в чрезмерном раздувании сложившейся ситуации (действительно, критические дыры (а компания их группирует по степени опасности от меньшей к максимальной: низкая, средняя, высокая и критическая) в Google Chrome не редкость, и компания их не скрывает, описывая их на официальном блоге, но журналистов внезапно заинтересовала эта уязвимость). Крис Эванс, другой разработчик браузера, заявил, что раз исполнение уязвимости требует дополнительный подключаемый модуль, то это не проблема браузера. Это же мнение поддерживает и журналист издания ZDNet Эдриан Кингсли-Хьюс, пристально наблюдающий за ситуацией. Тем не менее, я не могу согласиться ни с Крисом ни с Эдрианом. Как известно, Google достигла особого соглашения с Adobe на включение в дистрибутив модуля, а также на приоритетные обновления и на совместные работы по разработке плагина для просмотра PDF и внедрению Adobe Flash в песочницу. Поэтому специалисты из VUPEN именно взломали Google Chrome, а точнее компонент, идущий неразрывно в комплекте с браузером. Тем не менее, если хакеры возьмут ванильный дистрибутив Chromium той же версии, что и взломанный Google Chrome, то их эксплойт не будет стоить и выеденного яйца, так как он будет требовать Flash. Но всё же компании Google надо хорошо подумать над тем, как обеспечить безопасность плагина, ибо даже песочница не спасла браузер от эксплойта. Возможно, что стоит блокировать запуск Flash-содержимого по умолчанию, как это делается с Java/IcedTea, или предоставить пользователю самому запустить плагин при оповещении, сходном с оповещением об установке поисковой системы, где будет сообщаться о преимуществах и возможностях Flash вместе с заметкой о возможных проблемах с безопасностью.

По материалам ZDNet и подкаста jeje и XaocCPS.
Anzhel Bozhinov @Mairon
карма
26,5
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (33)

  • +26
    Флеш такой флеш
  • –24
    Похоже на всемирный заговор против флеша
    А я флеш люблю и не представляю интернет без него… Минусуйте!
    • –14
      Будет ли обратный эффект, если написать: «Я флеш не люблю… Плюсуйте!»?
      • +31
        не, надо писать: я флеш не люблю, минусуйте!
        • +1
          :)
          А ведь, какое можно интересное исследование провести!
          • +11
            уже всё проведено — минус на минус даёт плюс )
            • 0
              А мне кажется, что суть другая.

              Основной вывод, который можно сделать: очень много людей ставят оценку не задумываясь над пустым комментарием, а следуя, кхм, велению сердца. В общем, толпа движется за первым попавшимся комментатором.
        • –3
          А я томат
  • –1
    Ничего не поделаешь, это флеш.
  • +34
    Flash это ярчайший пример того что широкраспространенная софтверная технология должна быть открыта. Иначе рано или поздно она обречена на смерть даже против воли ее пользователей (и не смотря на что эта технология полезна).

    OpenSource for the win!
    • +1
      Аминь.
    • 0
      Ну по крайней мере Adobe начала делать первые шаги на пути к Open Source — например Flex SDK полностью открыт. Так глядишь, через пару лет сам плеер откроют.
      • +1
        2 года — это очень большой срок в IT индустрии. Глядишь, через пару лет уже и не нужно будет…
        • +1
          А что сможет заменить флеш в течении двух лет?
          • +3
            HTML5?
            • 0
              Вы действительно верите в то, что HTML5 за 2 года достигнет тех же высот что и флеш?
              • 0
                Я — да. Интерактивные элементы своего сайта делаю на HTML5 и радуюсь.
                • 0
                  А как же ппаратная поддержка 3d, peer-to-peer и т.д.?
                  • 0
                    3D — WebGL. Но я и на Флеше редко замечаю что-нибудь объёмное.
                    Peer-to-peer… разве на Javascript такое нельзя написать? Но я особо с этим не работал.
    • +1
      Все эти ежемесячные дыры больше напоминают агонию, но будет ли смерть — за это не поручусь.
  • +8
    Флеш — хорошо! Раньше и его не было, а вот если бы сделали его открытым, то было бы еще лучше!!!
  • +4
    Мне как пользователю, абсолютно все равно, что является узким местом. Если кто-то взломал компьютер через браузер, то виноват браузер (ну и я тоже, конечно). А вот вывод сообщение не решит ровным счетом ничего: большинство пользователей будет считать, что этот плагин здесь нужен, т.к. нет нормального способа определить, используется ли он для тебя или против тебя. Лучше всего, когда выдается сообщение: сейчас ваш компьютер взломают, продолжить? В противном случае это не будет работать.
    • +4
      Виноваты все…
      Браузер не делегировал такие права плагину, ось в свою очередь, не делегировала такие права браузеру.
  • +1
    доведут его до ума, не беспокойтесь, дайте еще год-полгода…
    • +1
      Вряд ли… уже давали и не раз.
  • +4
    А почему бы не сделать песочницу средствами ОС? Например в Linux можно использовать для этого AppArmor (возможно слегка доработав его), при этом flash-плагин будет отдельным процессом, которому, по профилю AppArmor, можно только читать/писать что-то вроде ~/.config/Flash и загружать необходимые библиотеки, а все остальное (запуск процессов, запись файлов за пределами конфигов) «низзяааааа».
    • +1
      ну ка — ну ка, поподробнее для «Убунтоидов» ато флеш частенько себя ведёт как немецко фашистский захватчик : насилует женщин нагружает проц и сьедает «млеко» и «шпек» память
  • +2
    Любая технология, поставляемая вместе_с_браузером, расширяет его (браузера) площадь потенциальных уязвимостей. Кто разработал технологию — это дело десятое, ответственность лежит на том, кто эту технологию поставляет (в данном случае Google Chrome).

    В этом смысле с тем же успехом можно утверждать, что дырки в безопасности WebGL (http://xakep.ru/55654/) — это тоже не вина Google Chrome, активно продвигающим данную технологию, а проблема производителей железа, ОС и всех других. А Chrome он, конечно, безопасный :)
    • +1
      Глупости. Они встроили плагин в Хром ради того, чтобы хоть как-то повысить его безопасность. Между прочим, IE9 страдает той же уязвимостью. Но Микрософту — да, выгодно убеждать всех, что уязвимость Флеша — это уязвимость Хрома, но не уязвимость IE
      • –1
        IE такой уязвимостью не страдает, так как не поставляет вместе с собой Flash. Причины, по которым Chrome включает в свой состав Flash заключаются, очевидно, не столько в безопасности, сколько в автоматическом включении соответствующей функциональности, что важно и для веб-приложений в Chrome (особенно игр), и для проигрывания медиа-контента ;)
      • 0
        Ну я не Микрософт, а пациент с линуксом головного мозга и фанат Гугла, тоже считаю, что это уязвимость Google Chrome, потому что, в отличие от других браузеров, Кроум имеет плагин в своём дистрибутиве и отказаться от него, к слову, нельзя, так как он устанавливается без особых уведомлений. Отключить затем можно, да, не спорю, но сама ситуация не очень приятная. В общем, это уязвимость Flash и всех продуктов, с которыми этот плагин поставляется (то есть Google Chrome и OEM-вендоры, которые пихают, кроме своего мусора, в ноутбуки ещё и дистры флеша).

        Но уязвимость WebGL, действительно, не вина Google, а вина Khronos Foundation, в которую Гугл входит, но он там не один отнюдь.
  • +2
    «Не виноватая я, он сам пришел!» :)
  • 0
    Значит вот таким незамысловатым образом мой Gmail аккаунт вчера вечером был уведен. А ведь всего лишь открыл письмо от друга из Inbox'a и прочитал его.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.